Kako deluje protivirusna programska oprema
Protivirusni programi so zmogljivi deli programske opreme, ki so bistveni za računalnike Windows. Če ste se kdaj spraševali, kako protivirusni programi odkrivajo viruse, kaj počnejo na vašem računalniku in ali morate sami opravljati redne sistemske preglede, preberite na.
Protivirusni program je bistveni del večplastne varnostne strategije - tudi če ste pameten uporabnik računalnika, je stalni vir ranljivosti za brskalnike, vtičnike in sam operacijski sistem Windows pomemben za zaščito pred virusi..
Skeniranje ob dostopu
Protivirusna programska oprema se izvaja v ozadju računalnika in preverja vse odprte datoteke. To je na splošno znano kot skeniranje na dostopu, optično branje v ozadju, rezidentno skeniranje, zaščita v realnem času ali kaj drugega, odvisno od protivirusnega programa.
Ko dvokliknete datoteko EXE, se lahko zdi, da se program takoj zažene - vendar ne. Protivirusna programska oprema najprej preveri program, ga primerja z znanimi virusi, črvi in drugimi vrstami zlonamerne programske opreme. Protivirusna programska oprema izvaja tudi »hevristično« preverjanje, preverjanje programov za vrste slabega vedenja, ki lahko kažejo na nov, neznan virus.
Protivirusni programi pregledujejo tudi druge vrste datotek, ki lahko vsebujejo viruse. Arhivska datoteka .zip lahko na primer vsebuje stisnjene viruse ali Wordov dokument lahko vsebuje zlonamerni makro. Datoteke se skenirajo vsakič, ko se uporabljajo - na primer, če prenesete datoteko EXE, se jo skenira takoj, preden jo sploh odprete..
Možno je uporabiti protivirusni program brez skeniranja ob dostopu, vendar to na splošno ni dobra ideja - virusi, ki izkoriščajo varnostne luknje v programih, jih ne bi ujel skener. Ko je virus okužil vaš sistem, ga je veliko težje odstraniti. (Prav tako je težko zagotoviti, da je bila zlonamerna programska oprema kdajkoli popolnoma odstranjena.)
Popolno skeniranje sistema
Zaradi skeniranja po dostopu ponavadi ni potrebno izvajati skeniranja celotnega sistema. Če prenesete virus v računalnik, bo protivirusni program takoj zaznal - najprej vam ni treba ročno zagnati pregleda.
Popolne sistemske skeniranje pa je lahko koristno za nekatere stvari. Popolno pregledovanje sistema je koristno, ko ste pravkar namestili protivirusni program - zagotavlja, da v računalniku ni nobenih virusov, ki bi bili neaktivni. Večina protivirusnih programov je nastavila načrtovana popolna skeniranja sistema, pogosto enkrat na teden. To zagotavlja, da se najnovejše datoteke z definicijami virusov uporabljajo za skeniranje vašega sistema za mirujoče viruse.
Ti popolni pregledi na disku so lahko tudi koristni pri popravljanju računalnika. Če želite popraviti že okužen računalnik, je koristno vstaviti trdi disk v drug računalnik in opraviti pregled celotnega sistema za viruse (če ne opravite popolne ponovne namestitve sistema Windows). Vendar pa ponavadi ne potrebujete celotnega skeniranja sistema, ko vas protivirusni program že ščiti - vedno se skenira v ozadju in opravlja svoje, redne, sistemske skene..
Definicije virusov
Protivirusna programska oprema se pri odkrivanju zlonamerne programske opreme zanaša na definicije virusov. Zato samodejno prenese nove, posodobljene datoteke definicij - enkrat na dan ali celo pogosteje. Datoteke z definicijo vsebujejo podpise za viruse in drugo zlonamerno programsko opremo, ki so se pojavile v naravi. Ko protivirusni program pregleda datoteko in ugotovi, da se datoteka ujema z znanim zlonamernim programom, protivirusni program zaustavi izvajanje datoteke in jo postavi v »karanteno«. Odvisno od nastavitev protivirusnega programa lahko datoteka samodejno izbriše datoteko ali pa lahko dovolite, da se datoteka vseeno zažene, če ste prepričani, da je to lažno pozitivno.
Protivirusna podjetja morajo nenehno spremljati najnovejše podatke o zlonamerni programski opremi in objavljati posodobitve definicij, ki zagotavljajo, da so njihovi programi ujeti zlonamerno programsko opremo. Protivirusni laboratoriji uporabljajo različna orodja za razstavljanje virusov, njihovo izvajanje v peskovnikih in pravočasne posodobitve, ki zagotavljajo, da so uporabniki zaščiteni pred novim zlonamernim programom.
Hevristika
Protivirusni programi uporabljajo tudi hevristiko. Hevristika dovoljuje antivirusnemu programu identifikacijo novih ali spremenjenih vrst zlonamerne programske opreme, tudi brez datotek z definicijami virusov. Na primer, če protivirusni program opazi, da program, ki se izvaja v vašem sistemu, poskuša odpreti vsako datoteko EXE v vašem sistemu in jo okuži s pisanjem kopije izvirnega programa, lahko protivirusni program zazna ta program kot nov, neznana vrsta virusa.
Noben protivirusni program ni popoln. Hevristika ne more biti preveč agresivna ali pa legitimno programsko opremo označuje kot viruse.
False Positives
Zaradi velike količine programske opreme tam zunaj je mogoče, da lahko protivirusni programi občasno pravijo, da je datoteka virus, če je dejansko popolnoma varna datoteka. To je znano kot »lažno pozitivno«. Občasno antivirusna podjetja celo delajo napake, kot so identifikacija sistemskih datotek Windows, priljubljeni programi tretjih oseb ali lastne protivirusne programske datoteke kot virusi. Ti napačni pozitivni rezultati lahko škodijo sistemom uporabnikov - takšne napake se navadno končajo v novicah, ko je Microsoft Security Essentials opredelil Google Chrome kot virus, zato je AVG poškodoval 64-bitne različice operacijskega sistema Windows 7 ali se je Sophos označil kot zlonamerno.
Hevristika lahko poveča tudi stopnjo lažno pozitivnih rezultatov. Protivirusna zaščita lahko opazi, da se program obnaša podobno kot zlonamerni program in ga prepozna kot virus.
Kljub temu so napačni pozitivni rezultati redki pri normalni uporabi. Če vaš protivirusni program pravi, da je datoteka zlonamerna, morate na splošno verjeti. Če niste prepričani, ali je datoteka dejansko virus, jo lahko poskusite naložiti v VirusTotal (ki je zdaj v lasti Googla). VirusTotal pregleduje datoteko z različnimi protivirusnimi izdelki in vam pove, kaj vsaka od njih pravi o tem.
Stopnje zaznavanja
Različni protivirusni programi imajo različne stopnje zaznavanja, v katere so vključene definicije virusov in hevristike. Nekatera protivirusna podjetja imajo lahko bolj učinkovito hevristiko in izdajo več definicij virusov kot njihovi konkurenti, kar povzroči višjo stopnjo zaznavanja..
Nekatere organizacije redno testirajo protivirusne programe v primerjavi med seboj in primerjajo stopnje odkrivanja v uporabi v realnem svetu. AV-Comparitives redno izdaja študije, ki primerjajo trenutno stanje protivirusnega odkrivanja. Stopnje odkrivanja se s časom spreminjajo - ni enega najboljšega izdelka, ki je dosledno na vrhu. Če si res želite videti, kako učinkovit je protivirusni program in kateri so najboljši, je treba raziskati stopnjo odkrivanja.
Testiranje protivirusnega programa
Če želite preveriti, ali protivirusni program deluje pravilno, lahko uporabite preskusno datoteko EICAR. Datoteka EICAR je standardni način za testiranje protivirusnih programov - pravzaprav ni nevarna, vendar se protivirusni programi obnašajo, kot da je nevarna in jo identificirajo kot virus. To vam omogoča testiranje odzivov protivirusnega programa brez uporabe živega virusa.
Protivirusni programi so zapleteni deli programske opreme, debele knjige pa bi lahko napisali o tej temi - upajmo, da vas je ta članek prinesel v ospredje z osnovami.